Po drugi put ovog mjeseca Mozilla mora zakrpati sigurnosni propust nultog dana, za koju se u početku činilo kako utječe samo na web preglednik Chrome i njegove derivate
Propust s oznakom CVE-2023-5217 u biblioteci programa libvpx već se koristi za napad na korisnike Chromea.
Google je 27. rujna objavio hitno ažuriranje za Chrome kako bi uklonio problem. Sljedeći dan Mozilla im se pridružila s ažuriranjima za Firefox 118.0.1 i Firefox ESR 115.3.1, kao i za Firefox za Android 118.1.0.
Biblioteka otvorenog koda libvpx koristi se za kodiranje videozapisa. CVE-2023-5217 je prekoračenje međuspremnika u libvpx pri kodiranju videozapisa u formatu VP8.
vezane vijesti
Ako napadač zlorabi ovaj propust, može pokrenuti izvršenje ubačenog zlonamjernog računalnog koda.
Da bi to učinio, mogao je ugraditi pripremljeni video na bilo koju web-stranicu i namamiti potencijalne žrtve na stranicu, primjerice s poveznicom u e-poruci ili putem aplikacije za slanje poruka.
Iako trenutno nisu poznati takvi napadi na Firefox već samo Chrome, svi korisnici Firefoxa trebali bi odmah instalirati dostupno ažuriranje.
Da biste to učinili, u izborniku otvorite Help, pa About Firefox i slijedite upute. Mozilla klasificira ovaj propust kao kritičan.
Na meti projekti otvorenog računalnog koda
Projekt Tor je 29. rujna ažurirao svoj preglednik kako bi zakrpao sigurnosni propust nultog dana. Istog je dana Mozillina podružnica MZLA Technologies osigurala sigurnosno ažuriranje za Thunderbird.
Programsku biblioteku libvpx izvorno je razvila On2 Technologies, tvrtka specijalizirana za video kodeke, koju je Google kupio 2010. Google je nakon toga objavio softver kao otvoreni računalni kod, s podrškom za video formate VP8 i VP9.
Mnogi projekti otvorenog koda koriste takve standardne biblioteke, od kojih se neke također smatraju referentnim implementacijama.
Google je već objavio hitno ažuriranje za Chrome sredinom rujna kako bi zatvorio još jedan kritični sigurnosni propust nultog dana u tom pregledniku.
CVE-2023-4863 u biblioteci programa libwebp otvorenog koda može se iskoristiti s izrađenim slikovnim datotekama u formatu WebP.
Ovu se programsku biblioteku također koristi u Firefoxu, koji je također objavio vlastitu hitnu zakrpu.
U međuvremenu se pokazalo da bi to moglo utjecati i na velik broj drugih programa čiji programeri koriste biblioteku WebP. Na primjer, Gimp, LibreOffice, Telegram, 1Password i mnogi drugi su potencijalno ranjivi, piše PC World.
